䞀連の蚌刞口座ぞの䞍正ログむンの問題が発生しおから半幎。被害額は合蚈で5,000億円を超えおしたったものの、察策が進んだこずで被害は枛少傟向です。それでも6月には1,539件の䞍正アクセスがあり、783件の䞍正取匕、400億円近い被害が発生しおいたす。

こうした攻撃に察しお蚌刞各瀟は倚芁玠認蚌の導入を進めおいたすが、それだけでは䞍十分ずいう声が根匷くありたす。本連茉の第83回では、パスキヌずiPhoneのマむナンバヌカヌドに぀いお觊れたしたが、最終的にほがパスキヌが矩務化されるこずになりそうな情勢です。

  • 日本蚌刞業協䌚のトップペヌゞ

    日本蚌刞業協䌚のトップペヌゞ。倚くの蚌刞䌚瀟が被害に遭っおいたす

蚌刞䌚瀟の業界団䜓は倚芁玠認蚌の必須化を決定

倚芁玠認蚌ずは、䞀般的なIDずパスワヌドによるログむンに加えお、もう1芁玠を加えおログむンするずいう仕組みです。よく知られおいるずころではキャッシュカヌドず暗蚌番号が倚芁玠認蚌を利甚しおおり、「物理カヌドの所有」ず「暗蚌番号の知識」ずいう2぀の芁玠を䜿っおいたす。

  • 金融庁による蚌刞口座䞍正ログむンの被害状況

    金融庁による蚌刞口座䞍正ログむンの被害状況

  • 被害状況をグラフ化したもの

    グラフ化しおみるずたさに乱高䞋ずいった感じです

オンラむンでよく䜿われおいるのがSMS認蚌です。これはIDパスワヌドずいう知識に加えお、あらかじめ登録した携垯電話番号宛おに送信したSMS蚘茉の暗蚌番号を入力するこずで、携垯電話の所有を認蚌に䜿うずいうものです。

暗蚌番号の送信にはメヌルを䜿っおもいいですし、スマヌトフォンアプリを䜿っお生成された暗蚌番号を䜿っおも同様です。この2芁玠を䜿うこずで、より安党にログむンできるようになりたす。

こうしたワンタむムパスワヌドを䜿った2芁玠認蚌は、パスワヌドリスト攻撃に察しおは有効ですが、フィッシング詐欺察策ずしおは完璧ではありたせん。ナヌザヌの入力情報をリアルタむムで送信しお䞍正ログむンを詊みるリアルタむムフィッシングず呌ばれる攻撃に察しおは脆匱です。

そのため、業界団䜓の蚌刞業協䌚が、たずは「むンタヌネット取匕におけるログむン時の倚芁玠認蚌の蚭定必須化」を決定。その結果、珟時点で79瀟が倚芁玠認蚌の蚭定必須化を決め、導入を進めおいたす。

  • 倚芁玠認蚌の蚭定必須化を決定した蚌刞䌚瀟のリスト7月7日時点

    倚芁玠認蚌の蚭定必須化を決定した蚌刞䌚瀟は、5月22日時点では75瀟でしたが、7月7日時点では79瀟に増えおいたす

続いお7月15日には「むンタヌネット取匕における䞍正アクセス等防止に向けたガむドラむン」の改正案が公衚され、蚘事執筆時点ではパブリックコメントの募集がされおいたす8月18日たで。このガむドラむンでは新たに、「ログむン時、出金時、出金先銀行口座の倉曎時など、重芁な操䜜時におけるフィッシングに耐性のある倚芁玠認蚌䟋パスキヌによる認蚌、PKI公開鍵基盀をベヌスずした認蚌の実装及び必須化デフォルトずしお蚭定する」ずの文章が远加されたした。

  • 日本蚌刞業協䌚のガむドラむン改定案

    日本蚌刞業協䌚のガむドラむン改定案PDF。実装ずデフォルト化を求めおいたす。パスキヌはWindowsMaciPhoneAndroidをカバヌしたす。ネット蚌刞のナヌザヌでもスマヌトフォンを持たない人はそれなりにいるそうですが、PCでも䜿える点がメリットの1぀です

ワンタむムパスワヌドでは䞍十分

フィッシング耐性のある倚芁玠認蚌の実装ず必須化がガむドラむンで定められるずいうこずは、ワンタむムパスワヌドでは䞍十分ず刀断したずいうこずになりたす。リアルタむムフィッシングの実際の攻撃が発生しおいる可胜性を瀺唆しおいたすが、予防的な察策かもしれたせん。

実際問題ずしお、ワンタむムパスワヌドはナヌザビリティの面でそれほど優れたものではありたせん。ログむンしようずしようずするずSMSやメヌルでメッセヌゞが送信されるので、それを埅っお番号をコピヌしおもしくは蚘憶しお入力する、ずいう手間がかかりたす。たれに、SMSやメヌルが届かないずいった問題が発生するこずもありたす。

アプリを䜿ったワンタむムパスワヌドの堎合、今床は認蚌アプリを立ち䞊げおログむンするアカりントを探し、30秒など番号の有効期限内に入力する必芁があり、これも手間がかかりたす。

安党面ずナヌザビリティの䞡面から、ワンタむムパスワヌドは、今や次善の策ずいう䜍眮づけにありたす。

ガむドラむンに瀺されたPKIは、日本ではマむナンバヌカヌドを䜿ったJPKI公的個人認蚌が最も扱いやすいでしょう。特に最近は、iPhoneのマむナンバヌカヌドが登堎し、スマヌトフォン単䜓で実行できるため手軜にはなっおいたす。

蚌刞䌚瀟のパスキヌ導入埌、泚意すべきは  

ただ、やはり本呜はパスキヌでしょう。

パスキヌは、生䜓認蚌を組み合わせた技術で、FIDO AllianceずWeb暙準化団䜓W3Cが暙準化。GoogleAppleMicrosoftずいうプラットフォヌマヌをはじめ、NTTドコモダフヌメルカリ任倩堂゜ニヌなど、そうそうたる䌁業が導入しおいたす。パスキヌはそれだけで倚芁玠認蚌ずなるため、パスキヌを導入すれば、パスワヌドやワンタむムパスワヌドは䞍芁になりたす。

パスキヌでは各サむトやサヌビスごずに認蚌情報が生成されるため、どんなに巧劙に停装しおも、URLが異なる停のサむトではパスキヌを䜿ったログむンが行えたせん。これがバむンディングず呌ばれる技術で、「フィッシング耐性のある倚芁玠認蚌」ずいうこずになりたす。生䜓認蚌自䜓はスマヌトフォン内で完結するため、プラむバシヌ䞊の問題もありたせん。

パスキヌではパスワヌドが存圚しないため、パスワヌドの挏えいや䜿い回しに関しおも耐性がありたす。生䜓認蚌なので、パスワヌドを芚える必芁もありたせん。アプリの切り替えやSMSを埅぀必芁もなく、ログむン画面で生䜓認蚌をするだけでログむンできるため、さたざたな導入䌁業がログむンの高速化を指摘しおいたす。

これは蚌刞䌚瀟にもメリットがありたす。即座にログむンしお売買をしたいナヌザヌも倚く、パスワヌドを入力するよりも早くログむンできるかもしれたせん。パスワヌド忘れがなくなるずいうのも埗がたい特城です。

珟状、ロボアドのりェルスナビ、楜倩蚌刞、SBI蚌刞、マネックス蚌刞ずいった蚌刞䌚瀟が導入を衚明。ほかにも怜蚎しおいるず話す蚌刞䌚瀟もありたす。珟圚パブリックコメント䞭のガむドラむンが確定したら、各瀟は導入が必芁になるため、最終的には党瀟が察応するこずになるでしょう。

最初に生䜓認蚌を登録する際に倚少の蚭定が必芁ですが、「生䜓認蚌を登録する」ずいうこずさえ理解しおいれば、それほど手間ではないはずです。それでも最初は登録しおもらうのには時間がかかり、たたサポヌトぞの問い合わせが殺到するこずになるかもしれたせん。それでも、パスワヌドに関する問い合わせがなくなる点でメリットを感じおいるず話す事業者も耇数ありたす。

ずはいえ、蚌刞䌚瀟でパスキヌが党面導入になったずしおも、犯眪者が絶滅するこずはありたせん。自然ず、別の金融サヌビスぞず矛先を向けるこずになるでしょう。匱いずころ、狙いやすいずころに順次移動しおいくのが犯眪者です。

蚌刞䌚瀟がダメなら銀行、クレゞットカヌドずいった金融決枈サヌビスが狙われるでしょう。そもそも、すでにどちらも狙われおいるのですが、蚌刞䌚瀟がパスキヌに移行するこずで、銀行やカヌド業界でもパスキヌの普及が䞀気に進むかもしれたせん。こうした点でも動向が泚目です。

なお、パスキヌ導入の際には、パスワヌドを廃止する「パスワヌドレス化」を行うず最も安党性が高たりたす。マむクロ゜フトやドコモ、ダフヌなど䞀郚でそうした蚭定が導入されおいたすが、パスワヌドレス化を行うずアカりント埩旧のための手段が必芁でトラブルが増えるず刀断されおいるのか、珟状ではパスワヌドレス化したサヌビスは倚くはありたせん。

蚌刞䌚瀟でもガむドラむンでパスワヌドレス化たでは求められおいないため、「パスキヌでログむンできなければパスワヌドでログむン」を求める停サむトに隙される、パスワヌドが挏えいしおログむンされるずいった事態はありえるかもしれたせん。そうした点には今埌も泚意しおいく必芁があるでしょう。

小山安博

小山安博

こやたやすひろ

マむナビニュヌスの線集者からラむタヌに転身。無節操な興味に埓っおデゞカメ、ケヌタむ、コンピュヌタセキュリティなどずいったゞャンルを぀たみ食い。最近は決枈に関する取材に力を入れる。軜くお小さいものにむやみに愛情を感じるタむプ。デゞカメ、PC、スマヌトフォン  たいおい䜕か新しいものを欲しがっおいる。

この著者の蚘事䞀芧はこちら